Přepis řeči - Let's Encrypt: pojďme šifrovat na webu zadarmo

0:00:16	dobré odpoledne moje méno je petr proč vás
0:00:20	jsem šéfredaktor serveru root cz co vše nějaký zpravodajský server který vydává články a zprávičky
0:00:27	a
0:00:27	na kráse vesele von tam máme a
0:00:30	plné zábavy a
0:00:33	zároveň jsem aktivním členem sdružení nakreslit cz které
0:00:37	pro své členy
0:00:40	budu infrastrukturu virtuálních serveru je to neziskovku a máme tady stánek můžete se
0:00:45	při zeptat na spoustu podrobností
0:00:48	tahle přednáška už tetě ta prezentace na webu ona je dražší roku a pěkná a
0:00:52	tady je složku s pouštěla to až tak nevadí můžete se podíváte tam nějaký archív
0:00:58	co tam
0:01:00	jsou starší přednášky odkazy na vede a podobně
0:01:04	budeme se zabývat celé přednášce za to prosela
0:01:07	čili to teprv
0:01:09	tele stunnel
0:01:11	proč vlastně nasazovat dřív sem měl za to že toto pro se dobré tak akorát
0:01:16	pro banky a možná přihlašování na mail ale že to je taková zbytečnost
0:01:21	neska čím dál tím víc vidíme různé útoky vodposlechy sítí
0:01:27	zásahy do provozu
0:01:30	přijedete na letiště tam se vám místním žena která jako že zadarmo snaží cpát reklamy
0:01:35	do provozu to nechcete možné super koupí s sledování
0:01:39	takže si vlastně neska na tomu klasické metod oko nemůžete být uplně jistěže dostáváte informace
0:01:45	o toho se do kterého
0:01:47	to očekáváte
0:01:49	čili chcete zajistit autenticito těch dat že prostě když se nikdy hlásíte nebo něco čte
0:01:54	takže to je
0:01:55	všechno tak jak to má být na wikipedii nechcete aby vám
0:01:59	ruské agentury s zakazovali některé stránky které se nepohodlné podobně suse bohužel jako děje nebo
0:02:06	teď už ne protože má wikipedia toto pro se
0:02:11	bylo deklarováno herečce vedle sebe sama padesát osum že i monitorování útok
0:02:17	takže
0:02:19	prostě je snaha neska tohleto pro sanaci pokud možno všude
0:02:24	samozřejmě primárně tam kde probíhá nějaké osobní údaje nějaké přihlašování já třeba jsem přihlášený na
0:02:30	ubuntu a se jako bych nebyl rádi by mi někdo na nějaké síti třeba tady
0:02:35	která dozadu na ně okolností ta síť obrany šifrovaná
0:02:39	takže byste mohli odposlech no můj koupí a trochu si jako editovat článkem to a
0:02:44	tak tohle se nebylo úplně fajn takže toto pro se
0:02:48	takže mi nemůžete unést session kluky například
0:02:52	a
0:02:53	další varianta nebo další výhoda která tam je dneska moderní chlap serverů a moderních prohlížečů
0:03:00	že můžete nasadit a toto pro dva
0:03:02	cože nějaký optimalizovaný protokol
0:03:06	pavel satrapovi měl krásný článek na růstu
0:03:10	který umožňuje zrychlit přenáší tam výrazně bohužel právě se kvůli tomu že na síti jsou
0:03:17	možné krabičky které zasahují do provozu takže toto pro dva funguje vlastně jenom uvnitř toho
0:03:21	šifrovaného tunelu kde žádná krabička to nemůže po změňovat
0:03:25	a třeba kdyby tady byla nějaká diverzní proxi tak vám to na potom osumdesát nepustí
0:03:30	nic jiného než klasické na to se to pokud byste snad snažili cpát něco tady
0:03:34	toto pro tak vám to nebude fungovat proto bylo rozhodnuto
0:03:37	kluci prohlížeč už budu toto pro dva podporovat jenom mě číslovaného milda do tam do
0:03:42	to nemůže nikdo zasahovat
0:03:44	takže
0:03:45	to je další důvod proč to chcete
0:03:48	no a nakonec taková jako otázka k zamyšlení se sáčku je normální nezkoušej si ho
0:03:53	nepoužíváte let to nebo proč by to dělal takže asi tak jako je normálně se
0:03:59	za áčko
0:04:00	pro
0:04:01	přenos souborů na server terminálové sezení z ale na serveru tak by se mělo stát
0:04:06	jako to toto se postupně prostě normální věcí na webu
0:04:13	když se mě já jsem o tom někomu povídal jakékoliv práci že mu někde přednášek
0:04:17	o to pro se on říkal že vůbec neví co to co to je že
0:04:21	vůbec jako netuší své sem říkal to je tady taková ta ten zelenka zelená věci
0:04:25	ti objeví vedle adresy tom řádku
0:04:28	ona říkala no to znám ale obecném s to znamená tak sem říkal to je
0:04:32	za nákupní taška
0:04:34	a když uvidíš nějakého vyšlo pozor nákupní tašku že můžeš bezpečně nakupovat a že to
0:04:40	funguje prosím vás není to z mojí hlavy tomu za ty držky říká michal špaček
0:04:45	velký bezpečnostní odborníkem splnit účel ten nápad
0:04:49	takže abyste měli zelenou nákupní tašku
0:04:53	dostáváme se k ten certifikát u kterých se mluví neska a o kterých je vlastně
0:04:57	tahle přednáška nebo budeš se k tomu dostaneme
0:05:00	čemu to je mi neska umíme šifrovat bezpečně prostě si vyměníme klíče tady mezi sebou
0:05:05	jak se na vždycky posílat šifrované podepsané maily paráda případě webu a jiných služeb narážíme
0:05:11	na to že těžko můžeme zajít do googlu a říci tam na vrátnici jedna vytiskou
0:05:15	zřejmě klíčkem sedum
0:05:17	takže musíme tento protistraně autentizovala pokud bychom to neudělali jste někdo na síti může říct
0:05:22	já sem byl komunikují se mnou krásnější slova ně vy to budete posílat jemu a
0:05:27	ty informace vám někdo účely potřebujete nějakým způsobem autentizovat
0:05:31	toho že veřejný klíč který dostáváte o té služby
0:05:36	patří opravdu té službě
0:05:38	jo čili přichází tady ten problém důvěryhodného předání veřejného klíče tady nastupuje autority se vymyslelo
0:05:44	takle co sou nějací prostřední chci
0:05:48	kteří předtím
0:05:50	dostanou cena
0:05:51	veřejný klíč odtáhl
0:05:53	server o té služby a vystaví certifikát je nějaký veřejný dokument se dá ukrást nemám
0:06:01	přeneseme dycky podáváte jo tam ten při na začátku do hospody
0:06:05	a nimi napsáno že autorita x
0:06:09	k tomuto nové doménového jménu přiřazuje tento veřejný klíč
0:06:13	vy jelikož té autoritě důvěřujete nebo měli byste aspoň teoreticky
0:06:19	máte ve svém softwaru zabudovanou to autoritu jako důvěryhodnou
0:06:22	tak
0:06:24	ten váš software třeba pro víš prohnat na serveru root cz dostane o to autority
0:06:30	letenky ten certifikát v něm je ten veřejný klíč a váš prožít si řekne ano
0:06:36	této autority věří mám jiném portováno databázi důvěryhodných autory
0:06:41	a
0:06:42	ověří se elektronický podpis tom certifikátu a viz tam souši další věci jako odkdy dokdy
0:06:48	platí ten certifikát a podobně já jsem měl na středisku unixových technologie o kterém tady
0:06:51	dneska byla řeč přednášku pohled dovnitř certifikát už ho prodá zajímá co tam je všechno
0:06:57	tak se podívejte na tu tady tak proč máš cz zatím potom si můžete dozvědět
0:07:01	jak přesně ten certifikát
0:07:02	uvnitř vypadá je to dvouhodinová přednáška samostatnosti na to není úplně prostor ale to není
0:07:08	pro nás není úplně můžete
0:07:10	vděčnosti důležité že tam je
0:07:11	doménové jméno
0:07:13	veřejný klíč
0:07:14	ad autorita tam podepsal
0:07:16	říkám nějaký teda řetězec důvěry obvykle totiž to není takže přímo ta autorita které věříte
0:07:22	vystavuje ten koncový certifikát s praktických důvodů by se dal měnit certifikát rychleji nešáhnul aktualizaci
0:07:28	prohlížeče je víc nějaký kořen
0:07:31	pod ním teprve já tam aspoň jedna mezilehlá autorita která se jmenuje jinak mají název
0:07:35	a ta teprve vystavuje ten koncový certifikát tomu se říká řetězec důvěry a pokud to
0:07:41	tak to sedí že ta jedna autorita todle by další slevy většinou stejně jedna firma
0:07:45	to jenom technicky ještě udělá ne případě že by mi uniklo ten
0:07:49	klíč od toho prostředního privátní výhodou prostě měl certifikát u tak sou schopni ho zahodit
0:07:54	nebo taková abyste vytvoří si novou autoritu která se brát autorita ve pro budou mít
0:07:58	autoritu c autoritu kde je to jedno protože pořád vychází s tou kořene který vám
0:08:02	k počítači zůstal a je pořád stejně bezpečný
0:08:07	cache potom ten koncový certifikát potvrzuje identitu protože ten řetězec sally sedí navozuje to na
0:08:13	sebe o toho mluvili který máte zabudovaných ten mezilehlém třeba další mezilehlého pak tomu koncovému
0:08:19	tak je klíč předán a komunikace může začít existuje zhruba tisícovka těch autorit
0:08:25	těch technických těch mezilehlých certifikátu ale ve skutečnosti to je zhruba šedesát firem
0:08:31	o skutečných identit které
0:08:34	mají ty svoje krabice které je vedou ty certifikáty
0:08:37	ty podpisy
0:08:39	takže
0:08:40	když od některé z nich bude mít ten server certifikát vystavený přes ten řetězec tak
0:08:45	můžete věřit
0:08:48	největší překážky nasazení
0:08:51	sou s většinou ty technické
0:08:54	vy musíte když se rozhodne teda na svůj web server data pro sebe musí svěřovat
0:08:58	klíče vygeneroval žádost v najít si autoritu pošle dej tu žádost i musíte zaplatit kromě
0:09:04	toho že to stojí peníze tak jako vás to obtěžuje že musíte a kartu nebo
0:09:08	něco kredit nabíjet
0:09:09	třeba je to i device to dvě stě korun což není žádná jako raketa ale
0:09:13	prostě push to je problém prostě řešit musíte to krok navíc
0:09:17	musíte se ohlídá
0:09:19	a ten certifikát skončení nebo před tím než vám skončil nesmí skončit že tak pak
0:09:24	musíte to jako obnovovat
0:09:26	je s tím strašně práce takže ve finále se na to většina lidí prostě vykašle
0:09:29	a to proto se ne nasazuje
0:09:34	nedávno vyšla studie český košík roku cz by byla spousta různých dát ale sem sis
0:09:38	to vybral tuhle jednu podstatnou informaci
0:09:41	že
0:09:42	nám
0:09:43	vyšoupli poměrně začali masivně nasazovat toto se zatímco před rokem bych měl jenom šestnáct procent
0:09:51	jo šifrované spojit dneska je to víc než polovina
0:09:54	což ale taky nakonec není žádný velký zázrak protože
0:10:00	protože todle sou vybrané jenom vyšoupli yum obchody cože
0:10:04	podle mě na úrovni banky
0:10:06	čili
0:10:08	by to mělo být skupina která by měla by na tom co nejlíp a i
0:10:11	ta která je vidíte co nejlíp
0:10:13	tak má pořád jenom polovinu každý druhý show prosím posíláte bude pes
0:10:19	rozšifrovanou spojení vlastně nevíte komu je posíláte takže ta situace se zlepšila není dokonalá
0:10:24	ano
0:10:32	ano
0:10:36	aha jestli jsou to výchozí jestli výchozí nastavení nebo volitelné to neumím číst to nevím
0:10:41	sem studia nedělá
0:10:43	ne netuší o tom ještě další varianta že sis a může si můžete
0:10:48	jakoby rušena toto se že vás a mne přesměrujete sem což mysim dělajou penaltu ve
0:10:53	že musíte se tam včera na to toto se netuším si té výchozí stav nebo
0:10:57	volitelný
0:11:02	ano víme a voni vypršel certifikát s
0:11:06	tak takže se to se to měnilo
0:11:10	takže víte že ta situace se dramaticky zlepšil a za rok ale není to pořád
0:11:13	zdaleka dokonale
0:11:15	proto aby se to zlepšilo aby to dokonale bylo říkal projekt let semkly to cože
0:11:20	nějaký projekt je electronic floating foundation musela von lišák a mající sklo a další hromady
0:11:26	partnerů ty hlavní partnery tady vidíte dole kteří na to přispívají velké peníze
0:11:31	byla představená před vlastně přesně před
0:11:34	dvěma lety
0:11:35	a
0:11:36	beta vyšší běžela rok
0:11:38	nebo pak už to
0:11:40	teď už to beta není ale teda zhruba rok ta autorita vydá a certifikát i
0:11:46	a
0:11:47	přispívají jednotlivci tady bylo to když komu do se snažilo zaregistrovat dodatečně ochrannou známku let
0:11:52	sem kryt což bylo za moře považováno za velkou
0:11:55	jak to říct slušně nechutnost
0:11:58	tak se objevil lidi tady řekli super přispěl jsem na provozovat sem klid děkuju komodu
0:12:02	že mě na ně upozornili takže to mělo přesně opačný efekt a komu do potom
0:12:06	řekl že už to dělat nebude
0:12:08	že si tou ochranou známku registrované bude
0:12:12	let sem klid se snaží dělat ty věci jinak takže ten certifikát získáte zdarma získá
0:12:18	toho automatizovaně to je důležité protože tím se překonávají ty technické překážky kolem toho
0:12:23	je to průhledné
0:12:25	vše všechny vystavené certifikáty jsou od začátku zveřejňovány a je to otevřené jak ta serverová
0:12:31	strana taky klienti i ten protokol všechno je to maximálně otevřené
0:12:35	vlastně dělat co neznáme sou ty prváky klíče
0:12:39	ovšem není to zadarmo
0:12:41	rozpočet mají tři miliony dolarů ročně
0:12:44	a teď mají spuštěnou veřejnou kampaň se dá přispívat cesty paula tak takže pokud máte
0:12:49	třeba nějaké vyšší řešení a používáte tak by bylo fajn bystrém poslaneckou pár dolarů
0:12:56	pro ne protože musíte ale protože je fajn že to existuje
0:13:02	tohle je graf si statistik počty vystavených certifikátu
0:13:06	víte že to roste velmi rychle dokonce tam jsou jako velmi dramatické jako skoky nahoru
0:13:12	když to nasazuju třeba velké velkého stykové firmy stejné české jako
0:13:17	zahraničního pro velké tak pak to hodně vyskočí protože neska i ty české firmy umí
0:13:23	vám vlastně ten jejich certifikát třeba celý zařizovat prostě se zaškrtnete že to chcete a
0:13:27	máte to jde všechno vyřídí takže pro uživatele parádní věc ty bys automatizovalo tak nemusí
0:13:33	často udělat vůbec nic
0:13:35	to je denní počet certifikátu tam právě vidíte nějakou velkou špičku kdy nějaká veliká firma
0:13:41	postihována se z o
0:13:44	no vy vystavený chcete fikátů
0:13:48	to mám špatně titulek to je kolik se webových stránek za den načte toho toto
0:13:56	prosím vás do s wifi stole metry
0:13:59	takže vidíte že
0:14:01	vlastně polovina skoro dneska stránek reálně na světě je načtena pohled o to prosil
0:14:10	jeden den je to bylo třináctého října to bylo dokonce přes padesát procent
0:14:17	zobrazení stránek prohlížeči firefox lidi kteří mají ste statistiky zapnuté tak se načítá čili
0:14:25	že každá druhá stránka se načítá dneska posouvat _e logickém že když si vezmete wikipedie
0:14:29	vezmu
0:14:31	byl tu
0:14:32	google tak vlastně na tydlety weby chodí prakticky denně téměř každý z nás a
0:14:39	komunikuje s těmi sedmi pohledu to pros
0:14:41	ale realita zas není až tak úžasná
0:14:44	protože samozřejmě průměr denní nižší než ta realita podle google transparence portu čerstvého
0:14:52	nemá sedmdesát devět cesta nejnavštěvovanější strany kdo to tu pro se jako výchozí
0:14:57	šedesát sedum stihla zastavit zastaralé nebo žádnej šifrování
0:15:03	a ta stovka tvoří dvacet pět procent provozu
0:15:07	vidíte že to je hodně koncentrované několika
0:15:11	třetina stránek na
0:15:13	zobrazený na první stránce googlu ve vyhledávání
0:15:17	na toto pro sem
0:15:20	před dvěma lety to velmi sebou proces
0:15:22	že tady vidíte že ten také dramatický nárůst
0:15:25	a podle alex ad řešit která měří nejvíce je větší milion stránek na světě tak
0:15:30	má deset procent jo toto pro se podle nějaké jiné statistiky je to třináct procent
0:15:35	čili
0:15:36	běžně se můj se o ty kde se těch čtrnácti procentech
0:15:40	s těch sto milionů
0:15:41	strany na světě
0:15:43	a za poslední rok se ta čísla zdvojnásobil takže trend je fajn že přes devadesát
0:15:48	procent toho dvojnásobení má za na svědomí hacen klid
0:15:53	takže s skutečně jako drtivá většina certifikátu vystavených pro nás let sen kryt se vystavuje
0:15:59	provedli nebo domény které nikde žádné a toto pro se neměli
0:16:05	jako přes devadesát pět procent
0:16:07	set se vytváří se jako by
0:16:10	tohleto to posouvá zájmové weby leoš ne jenom málo s toho je přechod od jiných
0:16:15	autorit klacek
0:16:18	i s trošku historie co se stalo za ten rok
0:16:22	v lednu rvačce šestnáct byla spuštěna validace pomocí dns druhá možnost běžně používá nejčastěji používané
0:16:28	validace pomocí
0:16:29	roztažení souboru z webu
0:16:31	řekneme si víš únoru byla spuštěna po porážce desá klíčů takže si můžete nechat podepsat
0:16:37	od nich lidské
0:16:40	pryč eliptickým křivka velmi moderní věc
0:16:42	co byly maličké klíče stejně silná jako velké usa klíče
0:16:47	dobře znova jste šestnáct změnili ve zelený certifikát takže televize sto praxi stalo
0:16:52	poli windows vista je protože oni tam dřív měli v zeleném certifikátů rozšíření nikomu string
0:16:58	s které říkalo že nesmí vydávat certifikát i pro doménu tečka mail
0:17:04	jako my litery vojenskou ale x péčka to špatně interpretoval a
0:17:08	a místo aby
0:17:09	tam byla špatná implementace a místo všechny ostatní se stane pro lidi čas kromě toho
0:17:15	krypto pět set x péčka se chovají tak že ve výchozím stavu je povoleno všechno
0:17:20	a ten certifikát zakazoval tečka mail že se to ode četnost to vše slovo všechno
0:17:25	ale místečka pěkné tam dáte nikon stojí nic čili nějaké upřesnění lomeno víme jen tak
0:17:30	tam vložena se vyprázdní
0:17:33	takže vy ste s prázdné množiny odečetli tečka mail takže s byla zase prázdná množina
0:17:37	a nefungovalo to fix péčka
0:17:39	což v některých státech pořád na světě jsou desítky procent zastoupení minut říct _e a
0:17:44	spousta lidí jako říkala nemůže asi dva centy protože mám pocit roce zákazníků s
0:17:49	s turecká všichni přichází říct péčka takže to bylo přesně upraveno
0:17:53	filtrovat jste šestnáct byl ten klient přejmenována cena bot ten jejich referenční to je to
0:17:59	děkuji tom s kým s tou desítky až stovky
0:18:02	v červenci pustili plnou podporu ip ve šest
0:18:05	oni měli že jste mohli komunikovat s tou s nima pojď tyhle šest ale neuměli
0:18:10	po šestce stáhnout si ty soubory s toho serveru takže vás nemohli dovolit to je
0:18:15	opravené
0:18:16	teďkom čas tě přímo zapli podporují den takže pokud máte třeba s diakritikou neběží tečka
0:18:22	xlib se muset
0:18:24	tak s tak je možné s
0:18:26	získat duševních certifikát
0:18:29	a slibuji že dalším krokem bude že už dobře zná že vydají nové mezilehlé certifikát
0:18:34	i další tady budu mít pece do se
0:18:38	takže se zase zmenší protože ten server při každém spojení pošlete řetězec pošt posílá mezilehlým
0:18:43	ten vrchní vy znáte ten mezilehlým vám pošle a pak ten svůj koncový a on
0:18:48	jsou mocnější co školy výhoda pro zátěž jsem nebude se posílal dejme tomu deset kilo
0:18:52	bajtů ale bude se posílá třem dva kilo
0:18:55	zmenší se ty certifikáty a plán to při velmi rychle
0:19:01	jak to funguje používá se tam protokol ten jsem ne
0:19:05	a k _m
0:19:06	potom a ty se když je menenžment environment co jsou nějaké tohoto to pro se
0:19:10	posílané podepsané že jsem zprávy
0:19:13	jsou k tomu automatické u pily ty existují dva způsoby ověření kluci sáhne ta autorita
0:19:18	vám řekne ti by se s ní zahájit spojení založte si uživatele
0:19:23	řeknete chci proto doménou
0:19:25	a litovat ona pošle řekne vám to vy si o vyberete si sice té pomocí
0:19:30	dns
0:19:31	anebo pomocí souboru
0:19:33	řekne vám vlož té
0:19:35	tento náhodně vygenerovaný dlouhý řetězec do tohoto souboru
0:19:38	na disku cestě tečka vlnou
0:19:42	a nebo to dejte do domény vy řeknete zase tím k cáká krleš ona ověří
0:19:47	se to tam dali
0:19:48	a
0:19:49	na základě toho vám že si vyberete klíč a dostanete ten certifikát check o tom
0:19:55	tuhle chvíli není tady kořen
0:19:59	ještě
0:20:00	well
0:20:01	prostě zařízení chodí prochází kolečkem aby se to tak s aby se tak stalo
0:20:06	používají identitu která se bude jeden tras ten jejich ta jejich
0:20:12	kterých certifikaci nejde esteru dcera x tři a jeden tras tým právě vystavujete mezilehlých certifikát
0:20:19	na základě kterého mě potom vydávají
0:20:23	ty koncové recept
0:20:24	výchozí kutili ta která se tady menuje c nebo dřív se mnoho let semkly tak
0:20:29	kohy konfiguruje i web server takže vona je taková automatizovaná třeba debian utek port je
0:20:35	ten balíček takže když máte in skončí bude to nový server teda ten titul ty
0:20:39	stál a páč
0:20:40	a ty tu starou sednout
0:20:42	aut řekne
0:20:44	máma páč mám tam kde se ze třetího chceš projevila certifikát a struktury se to
0:20:50	všechno stane
0:20:51	cože fajn ale spousta lidí to tak nechce spousta lidí prostě s tou svojí mazanou
0:20:57	krásnou konfiguraci nechce aby na tom tedy ta šílená to hrabala takže velmi rychle vznikla
0:21:02	celá řada dalších implementací spojíme sem některý z nich tohle je současný stav těch
0:21:11	těch certifikátu
0:21:14	nahoře vpravo
0:21:16	ta bublina ze které by nejvíc čára je ten jeden tras
0:21:20	ten jim vystavuje let se jen klid autority x tři to je dneska ten používaný
0:21:24	ten ipod ti certifikát říct byly x jedna install _e které se nepoužívají ty právě
0:21:30	měli problém těch místečkách o německý jeden z hlavních se na druhý znaku záložní tak
0:21:35	si nechali věnovat x tři pro ty místečka upravený a ty tři štyři
0:21:40	a ste x trojky
0:21:44	sou
0:21:45	potom se vystavujou ty certifikáty čili když je přede přijede si na petr proč má
0:21:49	se z úplného cz
0:21:52	tak
0:21:53	víte řetězec jeden teraz pacinky x tři koncový certifikát oni mají vlastní kořen i se
0:22:00	root tygři na
0:22:01	oni mají odvozený co se pro ten asi mě zajímá
0:22:04	a ti mají vystavený stejnojmenné jde mezilehlé ale jenom ty staré ty nové budou právě
0:22:09	dělat a taky čtyřku historku a budou si tam právě zavádět i ten to chcete
0:22:15	se na to bude nějaká proběhne ňáká
0:22:18	ceremonie kolem to chtěl té současný stav
0:22:22	ve firefoxu padesát který by měl být zhruba za měsíc push ale
0:22:27	tenhlecten klid bude jako důvěryhodný
0:22:31	což bude zajímavý krok tu chvíli budete moc aspoň pro fajn false
0:22:35	vyměnit
0:22:37	nebo z přestat používat ten jeden prásk a můžete tam stačilo rovnou ten
0:22:42	nahoře vlastně řekli serveru tygři jedna a na jeho základě jsem to vlastně už to
0:22:47	bude důvěryhodné
0:22:49	je to už ho domek polez přidal přečtou dělat odteď
0:22:53	tak beruš vám to na safari třeba na věku nesmělo
0:22:59	co
0:23:00	co jaký ten křik a dostanete je to pouze d v certifikát doma invalidy ty
0:23:04	texty tři typy domény lydit organizuje vším hledej ty a
0:23:09	_e to je extrémně tady dyž _e znáte když se nahoře fades eště objeví název
0:23:15	firmy třeba dáte a za c z ty pako
0:23:18	objeví se vám tam název firmy
0:23:20	to tyhle ty certifikáty vůbec rozinky nedává oni dělaj ty nejjednodušší kdy prostě nic ne
0:23:25	certifikuje nikdo vám netelefonuje někdo za vámi jede podepsat smlouvu prostě jenom vystavíte
0:23:31	soubor na web server oni vám na základě toho vás validuje vydají certifikát nevystavuje baletka
0:23:37	certifikáty čili hvězdička tečka úplná tečka c z to nic nedostanete
0:23:41	ale říkali že tom do budoucna nevylučují ale že to zatím jako teď nemaj plán
0:23:47	ale že prostě bude chvíli to nepotřebuju ne dělají házet nevíš budoucnosti nebudu dělat
0:23:54	ty certifikáty mají platnost pouze tři měsíce
0:23:59	kvůli tomu aby se daly rychlej obměňovat dyby byl nějaký problém prostě aby se to
0:24:03	dalo rychleji řešit aby staničkám že normálně certifikát můžem pokus až tři roky
0:24:08	a oni mají nastaveno tři tisíce
0:24:10	rozhodně to nemění provozovat spíš říkal že by to třeba někdy v budoucnu spíš zkrátili
0:24:14	ještě
0:24:15	a celé vás to tlačí do té automatizace abyste měli klienta který to automaticky když
0:24:20	nově podobně
0:24:21	protože mají v látka tak majó normálně sám to znamená sem že alternativu nej takže
0:24:25	k tomu certifikátu není jenom jedno méno ale může jich tam mít víc
0:24:29	to znamená že úplně klidně můžete mít jeden certifikát kterém bude napsáno té levé úplného
0:24:34	cz open aut cz forum tečka cz mail tečka úplnou cz
0:24:41	každé to méno se validuje zvlášť přede komunikaci
0:24:43	že by si řeknete _e auto no cz by stav tohle je to tam dobrý
0:24:47	fór úplná cz kdy stav tohle je to tam dobrý takle se prostě projede kolečko
0:24:51	a stokrát čipu certifikát může být až tom _e
0:24:54	a dostanete jeden velký certifikát
0:24:57	jo můžete kdykoli obnovit té době
0:24:59	pokud máte klíče buďto toho účtu nebo u toho certifikátu může toho redukovat můžete tím
0:25:05	že snem
0:25:06	je prostě poslat požadavek prostě ivou koni ho de jure boku
0:25:10	a
0:25:11	a
0:25:12	všechny certifikáty které tak to si umí vystavíte sou veřejné dostanou se do databáze se
0:25:16	týče ke transparency jsou vidět
0:25:20	takové varování
0:25:23	externí se proběhlo jo
0:25:25	čoudu to reálná na ty trhu
0:25:28	to že
0:25:30	s toho plyne věc kterou ale nezpůsobil nějak hacen klid
0:25:33	že
0:25:34	je stránka za to pro se neznamená že
0:25:38	je to že je to bezpečná stránka
0:25:40	oni
0:25:41	validuje ní
0:25:44	to protistranu ale nemají jak validovat dobré úmysly té protistrany
0:25:48	prostě oni nezaručují že ta stránka je není zlá nebo se nestane sou budoucnosti vajíčka
0:25:53	že to není jejich role tohle bez řešit
0:25:56	o ní jenom provádí tu důvěryhodně to autorizaci
0:26:00	té stránky a přidružení doménové jméno a řekni
0:26:04	to je varování že tady vidíte všímavý
0:26:06	ve teplo a jí
0:26:08	který máte to plus
0:26:11	to se úplně nestalo sliby chyby co se úplně nepovedlo ještě oni na začátku tvrdili
0:26:15	že budou vyžadovat aby ta kvůli bezpečnosti aby ty soubory které budou stalo s tou
0:26:21	lomeno tečka vlnou přicházeli z mám typem application
0:26:25	a tímto to potom neudělali protože říkali to komplikuje konfiguraci toho serveru
0:26:32	pak docela zajímavá věc kterou k měli mít
0:26:35	proti zneužití že když budete mít uštědřit měli na té doméně třeba certifikát od jiné
0:26:41	autority který je stále platný
0:26:43	tak aby vám vystavila vystavil necyklickou vlastní
0:26:47	tak si musíte podepsat tím privátním klíčem k tomu starému certifikátu nějakou jizvu abyste to
0:26:53	dokázali že ste fakt držitelem toho
0:26:56	toho původního klíče k tomu původnímu certifikát o aby nikdo nemohl letenky zneužít pro nějaký
0:27:01	fischer zase k vám to bez naimplementovali
0:27:05	co je tak sekvenční číslování certifikátu oni kromě certifikátu chtěli zveřejňovat tu komunikaci s těmi
0:27:11	klienti to taky není
0:27:13	a
0:27:14	pak měli veřejným pletli s doménovými doménových jmen pro který ne vystavují a ten schovali
0:27:19	z nějakým ku mi téma není veřejný takže existují stejně jako u jiných autory prostě
0:27:24	domény to který vám to ne vystaví jako že tam asi bude před chvilkou to
0:27:28	je fajn ale taky třeba spoustu dalších
0:27:30	občas se stane nějaká chyba _e nějaký uživatel před pár měsíci prostě rozvířil kolem toho
0:27:36	celkem nějakou velkou kauzu protože on umí to i moje že ty certifikáty dávali a
0:27:41	potom prostě tajemně přidali
0:27:43	jeho méno
0:27:44	do toho seznamu ne veřejného protože v jedné doméně
0:27:48	prvního řádu druhého řádu pár vět janečku prostě existovala banka snad která měla stejné
0:27:56	stejnou doménu jako on
0:27:57	vy ne
0:27:59	zemi tak byste měli jako by to můžou existovat banka jones show tečka do německa
0:28:04	a kdyby řekli že to můžou tečka cokoli nevystavuje z ničeho nic prostě dva roky
0:28:08	vanilku roku nám budou vystavovat litevka tebe vám to líbí tom byl takže prostě tohle
0:28:12	je takové zvláštní prostě ten
0:28:15	ten a ten black listy bohužel je veřejný
0:28:21	další věc pozorná lidi mítink oni vámi nedovolí vystavit milion certifikátu za sekundu za pokud
0:28:26	se s nimi nějaké ceně nedomluvíte
0:28:29	se prusek ty limity to velmi uvolnil několikanásobně tuhle chvíli platí vzpomenu
0:28:35	sto těch domén ty no certifikát u můžete udělat vládci žádosti v jedné doméně druhého
0:28:41	řádu za týden
0:28:42	to znamená
0:28:44	kdyby se obraz rozhodl
0:28:46	že si bude rozdělovat ty certifikáty že v _e body certifikát fóru bude jiný certifikát
0:28:50	bonbony certifikát tak takle si vyměňuje dvacet pro úplnost cz a cokoli třetí
0:28:56	pokud by to nacpal do jednoho tak samozřejmě to je pořád a derivaci žádosti
0:29:01	no já su naším domem
0:29:05	jo s pro stejnou doménu si můžete maximálně vystavit pět certifikát musí to úplně stejné
0:29:10	za týden
0:29:12	počítají se certifikáty se stejnými doména že tam jmenujete to všechno s příde to šest
0:29:17	krát dva za sebou poslat a dostanete bych certifikát po šestý vám nepřidá máte na
0:29:21	týden
0:29:22	na týden utrum relokaci to ne se tu je in de o to aby ste
0:29:27	jim nezatěžoval i na měli je to autoritu takže když to bude kdybyste tak ho
0:29:30	požádali rukovali požádali nebo chovali požádali nebo kolik tak pořád zatěžujete takže zase pět konec
0:29:37	pět set registrací tato nenarazí té čili nových uživatelů že neviděl viz za tři hodiny
0:29:42	to je úplně rozpůlená udělat registraci jenom jednou a hotovo
0:29:45	obvykle a tři sta nedokončili žádosti za týden teplo vývojáři když otevřete to spojení a
0:29:51	s začnete žádné ne nedokončily vlastně naschvál limit pokud chcete testovat nějakou klienta psát si
0:29:56	vlastního tak oni mají speciální
0:29:58	stěží prostředí na jiných serverech na jiné doméně kde ta autorita vystavuje softwarové nějaké nemáte
0:30:05	jsem k té krabice ale vystavují jak by ne validní certifikát
0:30:13	kompatibilita s klienty aby to fungovalo jsou si u klienta musí znát ten kořenový certifikát
0:30:20	dns té ruce a víc tři a podporovat _e za dva
0:30:24	to splňuje většina dneska drtivá většina software vufind popsat tam nebyl tu skoro deset let
0:30:29	všechny verze chromu
0:30:31	windows
0:30:32	odpis p s p tři sem vy ste který zavedl _e sáhla právě android to
0:30:37	dva tři šest
0:30:39	to šel
0:30:41	dva tři dva tři pět a míní mají dneska jsi jeden a půl procenta telefon
0:30:46	to sou už hodně staré přístroje asi z roku dva tisíce devět
0:30:51	a jo s
0:30:51	jak vidíte dneska dnešní distribuce debian šestka nová smyčka java osum úst to jedna javy
0:30:59	tomu problém až nedávno tam právě přidali ten dres té ruce mistři
0:31:04	že znám že by klient
0:31:06	a nefunguje to tuhle chvíli hlavně jablek berry black byly slibuje že novém s
0:31:12	systémů
0:31:13	deset při který ušel dlouhou odkládá tak tam kde ten ta autorita nefunguje to nás
0:31:19	tady nejde nefunguje to nastane java nastaly smečka ty hezké tři že a víte že
0:31:24	taková sto
0:31:26	co vám to
0:31:30	ano
0:31:38	jo to je
0:31:40	to je to auto touto bez netuším sem přišel taky s tím s tím mužem
0:31:43	nějaký problém ale já to nepoužívá
0:31:46	podívám se na to dobře havla uživit každé tři měsíce anito protože ten certifikát každé
0:31:52	přinýst vyprší
0:31:53	to by docela odpovídalo že ten certifikát na platnosti měsíce
0:31:57	nedává to smysl já nevím já byl na si vemete noc samozřejmě no samozřejmě
0:32:02	ale jako drtivá většina klientů prostě třeba čtečky kincl amazon to má pro že sean
0:32:06	to funguje vyzkoušeno prostě péťa většina věcí tím funguje
0:32:11	těch klientů je tady ta je fakt jako hrstka ale souvislosti velké desítky minimálně
0:32:16	cenu mohli ten oficiální klient
0:32:18	pak existuje neceknu von to vše takový malý jednoduchý pak sou je knihovna file mu
0:32:25	pak je a k meta jiný takový kdysi řádkový úplně nerušit je pak si _m
0:32:29	ale který je trochu automatizovaný tyhle slov pipe no já jsem použil asistent si plácli
0:32:36	vyzkoušel vládu teď používám a sme tečka za to že šel umí
0:32:41	šel umí soubor
0:32:43	výborný jeden který to všechno umí všechno umí relokace některý člen ti neumíte vokovat musíme
0:32:49	to řeší nějak bokem ten neumí všechno co ten protokol dovoluje
0:32:56	to napsal nějaký číňan kterém někde asi ne nikdo neřekl že v dnešní se nedá
0:33:00	parsovat že jsem on to nevěděl tak to na program
0:33:04	je to jako fakt parádní neexistují implementace správa nebo ruby fakt prostě ve všem byl
0:33:11	dokonce i když to jeden ze webovém prohlížeči defakto javaskriptu víte
0:33:16	je to na webu cattle to pro se for free com může bys to vyzkoušet
0:33:20	je tady ten kopec týkající odkazy tam místo napište je to webová stránka trávení a
0:33:25	nepotřebuje server za sebou všechno to jen tom že ta ložnice lokálně na lidské dělá
0:33:28	to vybal strašně ruční práce
0:33:30	příkaz open ssl přitom spustit asi dvanáctkrát když dostanete certifikát je taková hodně bude budete
0:33:36	vyrábět klíče ručně všechno bermud okopírujete do dvou fotbal
0:33:41	některé aplikace
0:33:43	to integrují co mají staveb server key
0:33:46	který používá tady bych hlinka který tady někde tak jedem jestli není sál ale někde
0:33:51	je a pořád přednáší a ten přímo třeba má sobě toho klienta znamená že když
0:33:57	prostě si v něm spustitelné to řeknete chci minutu po se to vám to věřit
0:34:01	že logickém umí komunikovat internetu _e mi podala soubory takže padá
0:34:06	dokumentace letenky které seznam těch on to lidi metodiku víkendu dopisuj ty klienti
0:34:12	jak se to nasazuje prakticky
0:34:15	tady na požárním že nic
0:34:16	takže to funguje používám teda ten to je ty napsaný čistě všemu vyškubneš jedeš zámečku
0:34:23	umí
0:34:25	validaci přes net dns se o promiň certifikát automaticky protože makro a můžou který každý
0:34:31	den se podívá ke máte certifikát když ani který končí provoz a obnoví
0:34:37	máme něho samostatnou uživatele vůbec nemusí být že pokud _e naopak je tom doporučované
0:34:43	a
0:34:43	tady mám takovouhle stačí vlastně první fázi připsat do konfigurace ženy ztuhlé vesku to státy
0:34:49	kterou chcete vystavit certifikát že dotazy které jsou do adresáře volnou má směřovat do hobla
0:34:56	centimetrů a tomu klimtovi řeknete do tohohle bruce taky divizi pohled se ke konci tamtudy
0:35:01	sáhne
0:35:02	to je vlastně všechno
0:35:04	pak žádáte jediným příkazem
0:35:06	ten je celkem přímočarý skiny mínus když mu požádejte a ty dává ty mínus de
0:35:13	domény pro které chcete vidíte tady za blokové webovou fóru find a mínus _m do
0:35:19	starého adresáře chcete aby se strkaly ty výzvy které se bude potom stahovat autorita
0:35:25	pak je tam ještě další šikovná věc uplně dolech tech ten první příkladu bylo co
0:35:29	vedl šerif případě že vystaví nový certifikát zavolej toto
0:35:33	tomhle případě je to osudové to co jde de takže vyzvednout a lilo případně janis
0:35:39	nezpůsobí tvrdí restartovat jako hodný že stát
0:35:42	a to že ten má strach proces
0:35:44	přestane předávám nová spojení těm starým polokruhům které běží paměti a řekne jim počtem signál
0:35:50	až do děláte co máte tak se vypněte a spustí synové workery kterém začnou používat
0:35:55	nové certifikát znamená že pokud tu chvíli když nějaké spojení nic se mu nestane době
0:36:00	nenastane šifrované
0:36:03	jako by vlastně používá stanice přidanou se tam nepoužil jsem použil na začátku a pak
0:36:08	ten ty workery se otočí a máte to má to možné
0:36:12	používá se no with check
0:36:13	od dalším číslem
0:36:18	když to instalujete tak ten scan zavoláte mínus instalaci se přidá do cesty vytvoří s
0:36:23	nějakou strukturu s tečka jsme zahájení tech ten vtom příkladů
0:36:26	a
0:36:28	nainstaluje stack oranžo pěstuje stáří certifikátu pokud je starší ne šedesát tak nechá sem dobytek
0:36:35	růžo vypadá takhle no každý den o půlnoci už jsem si nastavit se to spustí
0:36:41	s parametrem mínus korunu
0:36:43	on si projedete certifikát když to spočívá to ručně toho mám vypíše seznam všech certifikátů
0:36:50	čas do kdy platí a u většiny z nich bude pět na to že kdy
0:36:53	naplánováno obnovení si nic nebude dělat
0:36:57	jakmile takle získáte certifikát tak přidáte do kontext user dvě položky klíč a ten certifikát
0:37:03	samo že musí být čitelný pro ten protože angeles běží plot uživatelem angeles obvykle ale
0:37:08	cykly takže podle cykly takže do toho adresáře by měl být čtecí právního to nastartuje
0:37:14	a funguje
0:37:16	pozor na správný řetězec důvěry pokud nebudete posíláte ne zelený certifikát vás to může jako
0:37:23	dost potrápit protože problém je pokud vy pošlete jenom ten koncový
0:37:27	a ne ten mezilehlých tak třeba vám to může fungovat
0:37:30	protože prohlížeče se záchodů když přidané kostra bude nějaký důvěryhodný certifikát neznají něco naučí
0:37:37	takže my třeba přijdete na
0:37:39	úplná cz pohled do posl
0:37:41	a máš
0:37:43	prohlížeč se naučíte _m zelený certifikát pak si otevřete svůj stránku kterou si právě s
0:37:48	bude si zprávy spustili hodnotu pro sem a tam to funguje
0:37:51	ale pak přijde někdo cizí do nikdy na žádném jedna centimetrů nebyla jen to zakřič
0:37:56	no ty třeba se stát ale problém návyky open budete volit jestli se tam včera
0:38:00	nebo vůbec to stát protože
0:38:03	mají prostě _m neplatí ze nebo ten se týkali plat měli posílat omezil
0:38:08	autoritu to znamená že vy vlastně váš pro lidi žádnou autoritu bych s tři letenky
0:38:13	neznám zná jenom jeden tras ale mezi těmi z neleží takže to je čísla můžete
0:38:17	si tam dost
0:38:20	a čím se to otestovat tady jsou odkazy klikací zase na nějaké testy ssl vás
0:38:26	různé analyzér i když se chcete případě si můžete ten certifikát takle té tím příkladem
0:38:32	stáhnout do souboru c teďka de a pomocí to celé vývar což je taková
0:38:37	jednoduchá autorita jako když se díváte na certifikát prohlížeči tak vypadá podobně
0:38:43	a můžete s ten certifikát gui pěkně to co vím
0:38:47	jak se ta ještě vylepšit
0:38:50	můžete posílal hlavičku zase prosila co že ste která sport si kvality
0:38:57	no toto pojetím vysvětlíte jaksi tomu prohlížeče při první návštěvě tufu
0:39:01	tomu říkal tras tom from s tím s napoprvé to nefunguje pak ušel
0:39:05	že musí mít vždycky ten tohle miliony certifikát to je třeba problém titul toho wiki
0:39:11	openwrt že tam se posílá se to se ale deset čekali neuvědomí způsobit o to
0:39:16	že vám to nedovolí přeskočit tu hlášku není tam takovéto to znáte životem to certifikát
0:39:21	je nedůvěryhodný ale nim tam přeskočit informuje vás tome
0:39:25	ve mám se s tady musí být platný miliony certifikát uživateli celá wikipedie
0:39:30	říkali že se ruské autority snažili na wikipedii tlačit plusku vypne to poprosil aby mohli
0:39:36	zasahovat provozu ale wikipedie řekla to nejde na mém se to se mi nemůžeme to
0:39:41	prosím vypnout že pak se tam ti uživatelé nedostane
0:39:44	pro mě to baví
0:39:45	výhoda je že by se to todleten prožít že naučí tak automaticky přepočte na toto
0:39:49	plného toto pro se to normálních okolností to přesměrování příde po dešifrovaným kanále když ho
0:39:55	na cestě vstoupíte a budete se tváří že jste ho toto to root cz tak
0:39:59	to pokoji nepozná neobjeví sem zelený zamčeno bude to fungovat
0:40:03	a jsem naučil se to se tak bude automaticky vám želatinu tu jednoduše variantu rooted
0:40:08	se za render
0:40:09	pak se stane to že se tam přidanou toto pro se samo protože pomocí té
0:40:12	hlavičky k tomu účelu
0:40:14	takhle to
0:40:15	vypadá
0:40:17	je to té hlavičce stack aspoň si květy
0:40:20	jak dlouho to platí
0:40:21	jednak hostovat prožít zapamatovat a include commits že subdomény suti postižené je možné to je
0:40:28	dáno takzvanou plnou hubu to znamená že se prohlížeče o to naučí fí instalaci že
0:40:33	mají seznam domény které tak nepoužívají a už nikdy nebudou zkoušeni to toto napodobení vždycky
0:40:38	se
0:40:39	pokud máte chróm můžete si otevřít chrom let internals za osumset osel
0:40:44	a tam si můžete ručně svoji doménu přidá a zase ten projít už nikdy nepůjde
0:40:48	nám to tuto variantu nebudu tady zkoušet
0:40:50	já tak sama ta
0:40:52	i když ještě asi zase neuměl
0:40:54	a pak je že se ještě rozšíření ho toto pro se vývoje tereza se sebou
0:40:58	nese nějakou databázi do ve které se do ní přidali a zase ten prožít automaticky
0:41:03	nutí k tomu používá na tuto pro se
0:41:06	další variantou nebo další hlavičkou zájmově ho prokopl ten mladší
0:41:11	a
0:41:13	přímo v té hlavičce posílá ty klientovi
0:41:15	toto jsou otisky veřejných klíčů kterými se musí ten se ty to tedy musí být
0:41:20	tom certifikátu který vám přichází jsem že vy byste donutili jinou autoritu aby vám vystavila
0:41:25	falešný certifikát to třeba i dát tak být hat má ta koule hlavičku
0:41:32	a váš prožít se naučil že jeden s těchto klíčů musí být tom certifikát
0:41:36	pokud není
0:41:37	tak to ne nebude fungovat
0:41:40	jestli klíčů dycky musí mít záložní protože vy byste to udělali špatně přišlo ten certifikát
0:41:45	jsem ti uživatelé se nedostanou
0:41:47	že jeden musí ležet cestě a jeden druhý nesmí aspoň dva tam musí být
0:41:52	takže případě že vám se něco strašného stane unikne vám privátní klíč k tomu jednomu
0:41:56	veřejném klíči tak máte někde na flešce předem vygenerovaný záložní a ten si necháte podepsal
0:42:01	znovu a zase takové nastartujete a pak se tam přidáte další vidíte si to
0:42:07	eště další pěkná věc která bohužel není rozšířená je takzvaný dejte lesa když se do
0:42:12	domény podepsané je nese can přidají zase podobně jako tady tak se přidají otisky klíčů
0:42:17	do té domény
0:42:19	budič jednou si ne si autory nebo koncový vypadá takle třeba fronta digium si můžete
0:42:25	přečíst a vidíte že
0:42:29	prostě říkáte té
0:42:31	uplně je jiný to postavení kanálem říkáte tomu softwaru
0:42:35	musím přijet certifikát s tímto otiskem
0:42:38	bohužel klienti to nepodporují problémy právě s tím dierese ke nedostane koncovou stanicích je nesejme
0:42:44	spoustě sítí vám nebude fungovat
0:42:47	ale jste rozšíření dieresích validátor které programuje c z nick trochu rumu info je fuk
0:42:51	su a to vám dokáže aspoň zelený zámeček že bylo jakoby eště _m
0:42:55	stranou přes ten to lesa záznam ověřeno že
0:42:59	certifikát který vám přišel je pořád takže i v zóně
0:43:04	ta otázky
0:43:06	já to můžu ukázat prakticky chcete to vidět prakticky jak to vypadá
0:43:10	vy jste neříkali že to nemá cenu
0:43:17	který nemá je to naše
0:43:21	ale můžete se už co white ta
0:43:27	tak se na ty otázky hlaste na tom asi mikrofonem
0:43:32	když sme si větší plus
0:43:35	já bych se chtěl zeptat jak jste zmínil to hrozí těch certifikátu přímo do hlavičky
0:43:40	toho webu nebo do těch dat co vlastně přicházejí a
0:43:44	kdybych to už se bude pouze tohle ten kryt a v té míře ti metod
0:43:48	rádi ty třicet tři certifikáty nějaký ten záložní
0:43:51	amplitudy to nikomu půl roku nepříde podívat se na stránku řekne fází který sem byl
0:43:56	na tom jsem si koupil boty jako podezírat kupovat server se na vánoce
0:44:00	tak už asi certifikaci žádný pat nebudou jak se zachová nějak celý ten záznam tech
0:44:06	je šumění týká a zapomene se
0:44:08	čili je takový tam jsou poprvé a bude věřit jakémukoli certifikátu a naučí se z
0:44:12	lavičky nebo v jakémkoli klíčem sou klíče a naučí se jakoby z lavičky další a
0:44:17	tak
0:44:18	panny timeout přímo tom záznamu třeba rok
0:44:20	a vy si tento list rokama ty když tam přijede za měsíc tak znova ten
0:44:24	téma nestaví na další rok čili ztopořeny kvůli přepisuje nebotanizujete dva roky tak se zapomene
0:44:29	zahodí a tam světa naučíte se nový
0:44:32	tak já jsem si pustil nějakou vpsku lépe si na ni grandu je tam distribuce
0:44:39	alpách jen o kterém je řekl jako byl kanady nucleic
0:44:43	vám malinká moc pěkná distribuce máme tam puštěný ten ženy sta můžete si podívat a
0:44:48	to je to živé
0:44:49	ono to dostane nějakou takovouhle adresu úplná sedmdesát sedum sto šedesát čtyři osum sto osumdesát
0:44:54	reply dělal deset více z
0:44:56	mít autora funguje to
0:44:58	když tam zkusím rád o to poprosil
0:45:01	tak je tam sem certifikát zařve po že ne ale když ho můžou překročíme tak
0:45:05	se tam dostane šifrování s
0:45:08	my si teďko
0:45:11	na problémy s githubu acme se
0:45:13	toho klienta
0:45:16	já s něma mého tady dal traktor a vašim bodům ten tudle chvíli ale
0:45:24	sme
0:45:26	stál
0:45:34	to je to něco jiného to není to je
0:45:37	já jsem se to presaři tady
0:45:41	nestal no on se nainstaluje a přidá se to tu dobu
0:45:45	takle vypadá tady ho máte role
0:45:47	vidíte že vždycky o půlnoci se spustí
0:45:51	tak já vlezu do
0:45:53	komu acme cena
0:45:55	ještě ukážu
0:45:58	angeles konsensu to na sport nohu tady dole je ten
0:46:03	tady vidíte serveru práva kdy ho méno
0:46:06	odkud se bere ten soubor který domluvili za to bylo který je tam napsali to
0:46:10	funguje a po tady uprostřed
0:46:13	tohleto
0:46:14	je že to je podvod na tom slajdu že uvedl jsem vás do tohoto adresáře
0:46:18	tvar acme
0:46:20	děláme
0:46:21	posloucháte jedna šest set
0:46:23	vyššího a teď zkusím takle příkaz
0:46:37	pouštím příkaz ty šum pro doménu praha a tak dále a tak dále a výzvy
0:46:41	stack i do varů acme
0:46:44	tak si zaregistruje účet
0:46:47	ono té připravené na to že máte nějaký účet nějaký klíč který čas no podepisujete
0:46:51	protože teoreticky ten a co protokol se ráno sjedu komerčního
0:46:56	poskytovatelé kdyby se zaregistruje to bude tam nějaké svoje klíče a zaplatí tomu sto dolarů
0:47:00	kredit a budete si vyrábět certifikát je třeba nějaké vyšší taktice to celé stalo
0:47:05	je list automaticky
0:47:07	ten certifikát
0:47:09	vyjel na obrazovce a zároveň mám tady píše že je
0:47:12	těchto adresářích
0:47:14	těch to funguje
0:47:16	my si
0:47:17	otevřený
0:47:19	ten ženy s conf a
0:47:22	no tak
0:47:23	ne to ne teta self
0:47:25	tak já zakomentuju ten se
0:47:28	a odkomentujte tenhleten
0:47:30	cože cesta puštěn
0:47:32	k těm správným klíčům které tam vznikly
0:47:35	a pokud se to podařilo
0:47:38	tak bylo nejen dobře a download
0:47:42	no vidíte že toto pro se zezelenal o
0:47:46	tady si na podrobnosti
0:47:48	tak
0:47:50	běžný název tady vidíte správné jméno vystavovatelé chce klid autority mistři vystavili sme to sobotu
0:47:56	máte listopadu třináct padesát do pátku a tak dále a tady vidíte tu cestou že
0:48:01	to potom jeden trest upřesnit strojků konci certifikátu
0:48:06	vyjel je za
0:48:09	že jeli se triky transparency
0:48:14	měl by tam být
0:48:16	to má že ta autorita ho tam strčí ale rozsahu byly uplně hned
0:48:20	a vyšel tam hledáte tak už jste dva já jsem tu stejnou zkoušel jestli to
0:48:24	funguje všecko a založil se mu neco provokoval a ty co by generoval další
0:48:31	tuhle chvíli má ten server
0:48:34	to pro se platné
0:48:36	jo
0:48:38	to je ten
0:48:40	chce viď jsou tady dokonce můžete přímo stromy nevidíte ty podrobnosti tady
0:48:45	ty klíče tak ale můžete sou tady celý stát tady o co je ten certifikát
0:48:49	stejně jako vám dávám jsem
0:48:52	tak snad stačí část malička elektriku jak jednoznačný dotaz tak se zeptá dva dotazy
0:48:58	a to každý ten cvrkot a pak mi skrýt generovat public i tím s automaticky
0:49:03	ale po víc docker widrow měřítko myslím si že to ne nevím o tom že
0:49:08	by to šlo udělat automatizovaný že by ty otisky se generovaly ale takle důležitá věc
0:49:14	kým pinů má k tomu vkládání těch otisků tam dáváte otisk
0:49:18	veřejného klíče
0:49:20	a ten veřejný klíč se nemusí měnit
0:49:22	z novin certifikát vy si můžete nechat za tři měsíce vista ve výchozím stavu tak
0:49:27	je že ten s klíč který se do vygeneroval se znova jenom poli píše
0:49:31	zase souběžně pořádný teplo doménu a znovu na ně dostanete certifikát
0:49:34	čili vy ty piny tam nacpe ty jednou vyberete si je s tím s tou
0:49:37	privátního klíče a ty tam navíc tu můžou být nebo je za tři roky ručně
0:49:41	vidíte ale prostě
0:49:44	není nutné s každé tři měsíce mění veřejný klíč
0:49:47	to vůbec není
0:49:48	o čili tom opilko pole nebo vtom kdy můžu stop trvale stejný klíčky domino učněm
0:49:53	uložíte
0:49:55	tak jo tak děkujeme za přednášky bude tady se pohybovat dva celé dva dny že
0:49:59	se mě můžete ještě na něco zeptat
0:50:01	jako za pozornost

Let's Encrypt: pojďme šifrovat na webu zadarmo

Sobota 5.11.2016 - D105

Petr Krčmář (Internet Info, s.r.o.)